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PROCEDE CRYPTOGRAPHIQUE A CLE PUBLIQUE POUR LA 
PROTECTION D'UNE PUCE ELECTRONIQUE CONTRE LA FRAUDE 

La presente invention se rapporte au domaine de la cryptographic En 
particulier, l'invention se rapporte aux procedes cryptographiques de protection contre 
la fraude d'une puce electronique dans des transactions entre une application et la puce. 

L'invention trouve une application tres avantageuse en ce qu'elle permet de 
proteger contre la fraude des puces a circuit integre a logique cablee ou a 
microprocesseur, notamment les puces qui equipent les cartes prepayees utilisees dans 
des transactions diverses telles que Tetablissement de communications telephoniques, 
le paiement d'objets dans un distributeur automatique, la location d' emplacements de 
stationnement a partir d'un parcmetre, le paiement d'un service comme un transport, 
public ou comme la mise a disposition d' infrastructures (peage, musee, 
bibliotheque,...). 

Actuellement, les cartes prepayees sont susceptibles de subir differents types de 
fraude. Un premier type de fraude consiste a dupliquer sans autorisation la cairte, le 
terme clonage etant souvent utilise pour caracteriser cette operation. Un deuxieme type 
de fraude consiste a modifier les donnees attachees a une carte, en particulier le 
montant du credit inscrit dans la carte. Pour lutter contre ces fraudes il est fait appel a 
la cryptographic, d'une part pour assurer I'authentification de la carte au moyeh^d'une 
authentification et/ou pour assurer I'authentification des donnees au moyen d'une 
signature numerique et, d'autre part pour assurer le cas echeant la confidentiality des 
donnees au moyen d'un chiffrement. La cryptographie met en jeu deux entites, qui sont 
dans le cas de I'authentification un verificateur et un objet a verifier, et elle peut etre 
soit symetrique, soit asymetrique. Lorsqu'elle est symetrique (ou "a cle secrete", les 
deux termes etant synonymes), les deux entites partagent exactement la meme 
information, en particulier une cle secrete. Lorsqu'elle est asymetrique (ou "a cle 
publique", les deux termes etant synonymes) une des deux entites possede une paire de 
cles dont Tune est secrete et l'autre est publique ; il n'y a pas de cle secrete partagee. 
Dans de nombreux systemes, notamment lorsque la puce est de type "a logique cablee", 
seule la cryptographie symetrique est mise en oeuvre avec des cartes prepayees, car la 
cryptographie asymetrique reste lente et couteuse. Les premiers mecanismes 
d' authentification developpes en cryptographie symetrique consistent a calculer une 
fois pour toutes une valeur d'authentification, differente pour chaque carte, a la stocker 
dans la memoire de la carte, a la lire a chaque transaction et a la verifier en interrogeant 
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une application du reseau supportant la transaction oirles valeurs d'authentification 
deja attributes sont soit stockees soit recalculees. Ces mecanismes assurent une 
protection ihsuffisante parce que la valeur d'authentification peut etre espionnee, 
reproduite et rejouee frauduleusement etant donne qu'elle est toujours la meme pour 
5 une carte donnee, permettant ainsi de realiser un clone de cette carte. Pour lutter contre 
les clones, les mecanismes d'authentification passifs de cartes sont remplaces par des 
mecanismes d'authentification actifs qui peuvent en outre assurer Fintegrite des 
donnees. 

Le principe general des mecanismes d'authentification actifs symetriques est le 

10 suivant : lors d'une authentification, la puce electronique et 1'application calculent une 
valeur d ! authentification qui est le resultat d'une fonction appliquee a une liste 
,< * d'^gumerits 'deterrhihee a chaque autKentificafion ;'Ma iiste* 'd^arguments pouvant 
comprendre un alea, Falea etant une donnee determinee par 1'application a chaque 
authentification, une donnee contenue dans la puce electronique et une cle secrete 

15 connue de la puce electronique et de Fapplication. Lorsque la valeur d'authentification 
calculee par la puce electronique est identique a la valeur d'authentification calculee 
par 1'application, la puce electronique est jugee authentique et la transaction entre la 
puce electronique et Fapplication est autorisee. 

De tels mecanismes d'authentification sont largement connus mais la plupart 

20 exigent des capacites de calcul au moins egales a celles dont dispose un 
microprocesseur. Ces mecanismes conviennent done aux cartes a microprocesseur, 
mais rarement aux puces a logique cablee, lesquelles disposent de moyens de calcul 
beaucoup plus rudimentaires. 

Un premier pas a ete effectue lorsque des mecanismes actifs d'authentification 

25 symetriques ont pu etre integres dans des puces a logique cablee. Par exemple, la 
demande de brevet fran9aise publiee le 27.12.2002 sous le numero FR 2826531 decrit 
un precede permettant de specifier de tels mecanismes. On notera que la valeur 
d'authentification produite par ces mecanismes peut aussi, comme l'enseigne la 
demande de brevet fran9aise precedente, etre interpretee comme une sequence de bits 

30 pseudo-aleatoires et, eh faisant varier au moins Fun des parametres d'entree, le precede 
de calcul de la valeur d'authentification devient alors un precede de generation de bits 
pseudo-aleatoires. 

Cependant, les mecanismes a cle secrete imposent que le dispositif de 
verification, en charge de 1'authentification de la puce, tel que ceux presents dans un 
35 telephone public, un terminal de paiement electronique, ou encore un portillon de 
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transport en commun, connaisse la cle secrete detenue par ladite puce. II en decoule un 
inconvenient majeur, a savoir que, si Ton souhaite que ledit dispositif puisse 
authentifier n'importe quelle puce emise en relation avec Tapplication, soit il doit 
stocker les cles secretes de toutes les puces, soit il doit stocker une cle de base, appelee 
5 aussi cle-mere ou cle-maitre, permettant de retrouver la cle secrete de n'importe quelle 
puce. Dans les deux cas, chacun de ces dispositifs stocke suffisamment d'information 
pour pouvoir retrouver les cles secretes de toutes les puces emises, et stocke done 
suffisamment d T information pour pouvoir fabriquer des clones de n'importe laquelle 
d f entre elles. II s'ensuit qu'une intrusion reussie contre n'importe lequel des dispositifs 

10 de verification aneantirait la securite de Tapplication dans son ensemble. 

II existe done un besoin imperieux de pouvoir integrer un mecanisme actif 
d'authentification k cle publique dans une puce a logique cablee, notarrunent dans les 
applications deployant un grand nombre de puces, ce qui est generalement le cas des 
applications utilisant des puces a logique cablee, car elles sont tres bon marche, .Or un 

15 tel mecanisme n ! existe pas a Theure actuelle. La raison en est que les mecanismes .a cle 
publique requierent generalement de mombreuses operations portant sur de grands 
nombres, et done qu'ils sont inappropries a une integration dans des puces a logique 
cablee, dans lesquelles la surface de silicium est extremement reduite, et dont la 
logique de calcul se reduit au cablage d f operations extremement elementaires.. Ces 

20 operations elementaires sont effectuees generalement en serie, en ce sens que les 
operandes sont introduites sequentiellement bit apres bit, et que cette introduction 
modifie progressivement Tetat d'un registre interne dont la valeur finale sert de base au 
calcul du resultat de la fonction. v 

La presente invention se rapporte aux mecanismes actifs d'authentification a cle 

25 publique qui peuvent etre mis en ceuvre dans une carte a logique cablee. 

Plus precisement, la presente invention porte sur un precede cryptographique 
asymetrique de protection contre la fraude de la puce electronique, dans des 
transactions entre une application et la puce electronique, plus particulierement adaptes 
aux puces a logique cablee et plus particulierement destines a mettre en place un 

30 mecanisme d'authentification, qui soit depourvu des inconvenients de la cryptographie 
symetrique mentionnes ci^dessus, de maniere a renforcer la securite de l'application 
dans son ensemble, et en particulier de rendre la creation de clones plus ardue. 

A cette fin Tinvention a pour objet un precede cryptographique asymetrique de 
protection contre la fraude d'une puce electronique, selon la revendication 1 . 
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L'invention a en outre pour objet un dispositif a puce electronique selon la 
revendication 32. 

L'invention a en outre pour objet un dispositif de verification selon la 
revendication 33, . ...... 

5 Un precede selon l'invention a pour avantage de permettre la production d'une 

valeur d f authentification V verifiable exclusivement au moyen de parametres publics, 
tout en etant produite exclusivement par des fonctions serie, c ! est-a-dire des fonctions 
traitant sequentiellement les bits des parametres qui en constituent les entrees. 

Les parametres d'entree du procede cryptographique et du dispositif sont traites 

10 dans la fonction serie qui fournit en sortie une donnee dependant de tout ou partie des 
parametres d' entree. 

Les parametres (T entree du proc'ede' et du dispositif appartierinMra une liste qui 
comprend, dans le 'cas de la mise en ceuvre d'un mecanisme d'authentification, au 
moins un identifiant I, une cle s privee secrete, une cle publique p correspondant a la 

15 cle s privee, d'un certificat de cette cle publique, d'un deuxieme alea t fourni par le 
dispositif de verification. 

Le generateur pseudo-aleatoire serie permettant de calculer l'alea r peut 
avantageusement reposer sur un procede d'authentification symetrique du type de ceux 
decrits dans la demande de brevet fran9aise publiee le 27.12.2002 sous le numero FR 

20 2826531 sus-mentionnee. Ainsi, si on designe par f(K,M) la fonction de calcul d r un tel 
procede, notation dans laquelle K designe la cle secrete symetrique et M designe 
Tensemble des autres operandes de la fonction f, alors Talea r peut etre produit par 
application repetee de la fonction f a des valeurs differentes de M tout en conservant la 
meme valeur de K. A titre d'exemple, si la taille de la valeur de sortie z de f est egale a 

25 k bits et si la taille de Talea r est egale a 16k bits, le premier alea r utilise lors de la 
premiere authentification de la puce peut etre choisi egal a la concatenation des seize 
valeurs de sortie f(K, Mi), f(K, M2) v .. } f(K, Mi 6 ) ; le second alea peut etre choisi egal 
a la concatenation des seize valeurs de sortie f(K, M ]7 ), f(K, Mis),..., f(K, M 32 ) etc., 
toutes les valeurs Mi etant distinctes les une des autres (typiquement, la valeur de M i+ i 

30 est obtenue en incremental la valeur de Mj). De nombreuses autres fa9ons d'utiliser le 
procede d'authentification a des fins de generateur pseudo-aleatoire sont possibles. 

La fonction serie contient des additions, des soustractions et des decalages a 
gauche ou a droite. En effet, ces operations peuvent etre tres facilement realisees de 
fa<?on sequentielle. 
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D'autres caracteristiques et avantages de Finvention apparaitront lors de la 
description qui suit faite en regard de dessins annexes de modes particuliers de 
realisation donnes a titre d'exemples non limitatifs. 

La figure 1 est un organigramme d f un procede selon Tinvention. 
5 La figure 2 est un schema d'un dispositif a puce electronique selon l'invention. 

La figure 3 est un schema d'un exemple d'un generateur pseudo-aleatoire d'un 
dispositif a puce electronique selon l'invention. 

La figure 4 est un schema d'un exemple d'un moyen de mise en ceuvre d'une 
fonction serie d'un dispositif a puce electronique selon Tinvention. 
10 La figure 1 represente un organigramme d'un procede cryptographique 

asymetrique de protection contre la fraude d'une puce electronique selon l'invention, 
dans des transactions, entre une application et la puce electronique. 

Le procede consiste a calculer dans la puce electronique une ^valeur 
d'authentification a partir de parametres d' entree. 
15 Dans une premiere etape le procede consiste a produire 1 par la puce un npmbre 

pseudo-aleatoire dit alea r au moyen d'un generateur pseudo-aleatoire serie inclus dans 
la puce. L'alea r est propre a la transaction. 

Dans une deuxieme etape le procede consiste a transmettre 2 de la puce a 
l'application un parametre x. Ce parametre x est calcule prealablement a la transaction 
20 par l'application et stocke en memoire de donnees de la puce. Ce parametre x est/jrelie a 
Talea r par une relation mathematique. Lapplication calcule au moins un parametre x, 
avantageusement elle en calcule plusieurs. Selon un cas particulier de mise en oeuvre, 
ces parametres x sont le resultat d'une fonction mathematique appliquee a des valeurs 
prises successivement dans un ensemble donne pour une puce donnee. Cet ensemble 
25 est tel que les differentes valeurs de l'alea r generees par la puce soient comprises dans 
cet ensemble. 

Ainsi la fonction mathematique reliant les aleas r et les parametres x consiste 
typiquement en une exponentielle dans un ensemble G muni d'une operation ayant au 
moins pour propriete d'etre associative et notee sous la forme d'une multiplication, 
30 c'est-a-dire que la fonction est x = g r , oil r designe un entier et g designe un element 
dudit ensemble G choisi prealablement par Tapplication. 

r est un nombre pseudo-aleatoire, different pour chaque puce et pour chaque 
authentification. II est calcule a deux reprises : la premiere fois par l'application, la 
deuxieme fois par la puce elle-meme. Apres avoir calcule r, l'application calcule le x 
35 correspondant.. L'application stocke ensuite au moins une valeur de x dans la puce au 
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moment de la personnalisation de cette derniere. Avantageusement, Tapplication stocke 
plusieurs valeurs de x. Comme Tapplication et la puce doivent produire la meme valeur 
de r, il est bien sur imperatif que le generateur pseudo-aleatoire de Fapplication et celui 
de la puce soient strictement identiques. 

g peiit etre avantageusement le meme pour toutes les puces electroniques liees 
a Tapplication ou peut etre propre a la puce. Dans ce dernier cas, g fait partie integrante 
de la cle p publique de la puce electronique. Des exemples typiques d'ensembles G 
sont, n designant un entier positif quelconque, le groupe Zn* des entiers positifs ou nuls 
inferieurs a n et premiers avec n, ou bien encore, toute courbe elliptique construite sur 
un corps fini. 

Dans une troisieme etape, le procede consiste a calculer 3 par la puce un 
pafametre y au'mdyen'd'un^ au moins 

l'alea r propre a la transaction et une cle s privee secrete appartenant a' une paire de cles 
asymetrique (s, p), ce parametre y constituant tout ou partie de la valeur 
d'authentification V. La fonction serie consiste en une fonction arithmetique. 

Dans une quatrieme etape, le procede consiste a transmettre 4 la valeur 
d'authentification V de la puce a Tapplication. 

Dans une cinquieme etape, le procede consiste a verifier 5 par Tapplication 
ladite valeur d'authentification V au moyen d'une fonction de verification dont les 
parametres d'entrees consistent exclusivement en des parametres publics, contenant au 
moins la cle p publique. 

La figure 2 represente schematiquement un dispositif a puce electronique selon 
Tinvention. Le dispositif a puce electronique permet la mise en oeuvre d'un procede 
cryptographique asymetrique de protection contre la fraude de la puce electronique 
selon Tinvention, dans des transactions entre une application et la puce electronique, 
consistant a calculer par la puce electronique une valeur V d'authentification a partir de 
parametres d'entree. 

Le dispositif 6 comprend : 

- un generateur 7 pseudo-aleatoire serie produisant un alea r propre a la 
transaction, 

- un premier moyen 8 de memorisation dans lequel sont stockes un ou plusieurs 
parametres x calcules prealablement a la transaction par l'application, chacun de ces 
parametres x etant relie par une meme relation mathematique a une valeur de Talea r 
comprise dans un ensemble de valeurs pouvant etre produites par le generateur pseudo- 
aleatoire serie, 
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-un premier moyen 9 de sortie du parametre x relie a l'alea r propre a la 
transaction, 

- un moyen 10 de mise en ceuvre d'une fonction serie ayant pour parametres 
d'entrees au moins l'alea r propre a la transaction et une cle s privee appartenant a une 

5 paire de cles asymetrique (s, p), ce parametre y constituant tout ou partie de la valeur 
d'authentification V, 

- un second moyen 9 de sortie de la valeur V d'authentification apres 
constitution de cette valeur a partir d'au moins le parametre y. 

1 0 Le generateur 7 pseudo-aleatoire serie repose, dans le cas de 1'exemple retenu et 

decrit en regard de la figure 2, sur un procede d'authentification symetrique du type de 
ceux decrits dans la demande de brevet fran9aise publiee le 27.12.2002 sous le numero 
FR 2826531 sus-mentionnee. Ainsi, si on designe par f(K,M) la fonction de calcul d'un 
tel procede, notation dans laquelle K designe la cle secrete symetrique et M' designe 

15 l'ensemble des autres operandes de la fonction f, alors l'alea r est produit par 
application repetee de la fonction f a des valeurs differentes de M tout en conservant la 
meme valeur de K. A titre d'exemple, si la taille de la valeur de sortie z de f est egale a 
k bits et si la taille de Talea r est egale a 16k bits, le premier alea r utilise lors de la 
premiere authentification de la puce est choisi egal a la concatenation des seize xaleurs 

20 de sortie f(K, Mi), f(K, M 2 ),.. M f(K, Mie) ; le second alea choisi est egak a la 
concatenation des seize valeurs de sortie f(K, Mn), f(K, Mis),..., f(K, M32) etc, toutes 
les valeurs Mj etant distinctes les une des autres. 

La figure 3 schematise uri tel generateur 6 pseudo-aleatoire serie. Ce generateur 
comprend des moyens 12 de melange de tout ou partie des parametres d' entree pour 

25 foumir en sortie une donnee E % =(e[ 9 e 27 ...e n ,...,e N ) resultat du melange, un automate 
13 a etats finis qui passe d'un etat ancien a un etat nouveau selon une fonction 
dependant au moins de Fetat ancien et d'une valeur de la suite de bits 
(e ] ,e 2 ,...e n ,... 9 e N ) , un moyen 14 de sortie pour calculer la valeur z a partir d'arguments 
d'entree comprenant au moins un etat de Fautomate, puis pour determiner la valeur de 

30 Talea r choisi en effectuant la concatenation de seize valeurs de sortie f(K, M\), f(K, 
M 2 ),..., f(K, M J6 ) successives. Les parametres d'entree des moyens 12 de melange 
peuvent etre pris dans une liste non exhaustive qui comprend : une cle secrete K, des 
donnees D internes a la puce, 1'adresse memoire des donnees D, des donnees D' 
externes a la puce, un alea R 1 fourni par l'application. 
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Les moyens 12 de melange mettent en oeuvre une fonction de melange MIX qui 
peut etre une fonction lineaire ou non-lineaire des donnees d'entree. 

Un premier exemple de fonction lineaire consiste a effectuer le produit scalaire 
entre les donnees d f entree. 
5 Selon un autre exemple de mise en oeuvre d'une fonction lineaire, les moyens de 

melange comprennent un registre a decalage a retroaction lineaire dans lequel les bits 
des parametres d'entree sont entres successivement et influent sur l'etat initial du 
registre et/ou sur la valeur des bits de retroaction. 

Selon un exemple de mise en oeuvre d'une fonction non-lineaire, les moyens de 
10 melange comprennent un registre a decalage a retroaction non lineaire, dans lequel les 
bits des parametres d'entree sont entres successivement. La valeur de sortie S' peut etre 
' ; ^con'stitueed'un ou pliisieiirs bits extraits du contend de'ce registre/^ : < ? 

Un premier exemple d'automate 13 AUT consiste a utiliser un circuit booleen. 
C'est-a-dire un circuit qui, par exemple a un vecteur de k+1 bits (Ai,A 2 ,. . . Ak+i) associe 
15 un vecteur de k bits (A'i,A , 2 ? ...A\), ou chaque bit A'j est obtenu a partir des bits 
(Ai,A2,...Ai< + i) a Faide d'operations elementaires telles que OU exclusif, OU 
(inclusif), ET, NON et ou (Ai,A 2 ,...Ak) represente l'etat ancien de Tautomate. 
L' automate possede un etat interne de k bits (Ai,A2,...Ak) et presente en sortie un 
nouvel etat (A'^A^, . A' k ), a chaque fois qu*un nouveau vecteur (Ai,A2,...Ak, S'e') 
20 est present en entree du circuit booleen, le nouveau vecteur etant constitue de l'etat 
interne et de la sortie de la fonction de melange MIX. 

Un second exemple d'automate 13 consiste a utiliser des transformations de 
bits defmies par des tableaux de nombres. Dans le cas ou k=8, il est par exemple 
possible de diviser Poctet (Ai,A2 5 ...Ag) en deux quartets (Ai ? A 2? A3 ? A4) et 
25 (A5,A 6 ,A 7 Ag), puis d'appliquer a chaque quartet une transformation T si le bit de sortie 
E'e' de la fonction de melange vaut zero, ou une transformation U si EV vaut un. La 
transformation T est defmie par un tableau qui associe a chaque valeur de quartet 
(a,b,c,d) une valeur de quartet (a',b',c',d'). De meme pour U. 

Lorsque toutes les valeurs d'entree ont ete prises en compte, Tautomate 13 est 
30 dans un certain etat final (F l5 F 2 ,. . .F k ). 

Le moyen 14 de sortie du generateur pseudo-aleatoire serie met typiquement en 
oeuvre une fonction de sortie qui est la fonction identite appliquee a l'etat final de 
Tautomate et une operation de concatenation. Ce moyen est par exemple une zone 
memoire de taille egale a la taille de Talea r, 16k bits. 
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Le premier moyen 8 de memorisation dans lequel sont stockes un ou plusieurs 
parametres x consiste typiquement en une memoire du type non volatile pouvant 
eventuellement etre re-ecrite. Les parametres x sont ecrits dans la memoire avant 
commercialisation de la puce electronique. La valeur de Talea r intervenant dans le 
5 calcul du parametre x doit etre choisie de fa<?on telle que la puce soit capable de 
recalculer cette valeur a Tidentique. Dans l'exemple de generateur pseudo-aleatoire 
serie decrit en regard de la figure 2, cette condition implique que la cle secrete K soit 
partagee par la puce et par l'application. Ainsi, avant la mise en circulation de la puce, 
l'application calcule un certain nombre de valeurs de x par application repetee du 

10 procede d'authentification dont la fonction de calcul a ete notee f ci-dessus, et stocke 
ces valeurs dans la memoire de donnees de la puce. A chaque authentification, la puce 
recalcule Palea r et lit en memoire de donnees la valeur du parametre x qui lui 
correspond. Dans l'exemple de generateur pseudo-aleatoire serie decrit en regard de la 
figure 2, la correspondance entre r et x est typiquement etablie en choisissant pour 

15 valeur de Mi une information permettant de determiner Tadresse de la valeux de x 
correspondant a cette valeur de r, la valeur de Mi+i pour i superieur ou egal a 0 etant 
obtenue en incrementant la valeur de Mj. 

Afin d'economiser de la place en memoire, le parametre x peut etre 
avantageusement choisi egal a Pimage par une fonction de hachage h de relement g r 

20 (ainsi eventuellement qu ! a d^utres elements, tels que des donnees d'application) f plut6t 
qu f a cet element lui-meme, c'est-a-dire que Ton a : x = h(g r ,D), ou D designe un 
champ optionnel contenant par exemple des donnees liee a Tapplication. Par exemple, 
D designe un montant en euro decide par l'application. Dans ce cas, chaque coupon 
represente une piece de monnaie electronique, et chaque authentification represente la 

25 depense d'une telle piece. 

Le premier moyen 9 de sortie du parametre x relie a Talea r propre a la 
transaction est typiquement un buffer d f entrees/sorties. 

Un exemple de moyen 10 de mise en oeuvre d'une fonction serie est decrit en 
30 regard de la figure 4. La fonction serie a pour parametres d'entree Talea r et une cle s 
privee secrete appartenant a une paire de cles asymetrique (s, p). La cle p est publique. 

Le moyen 10 se compose d'un additionneur de bits avec calcul et prise en 
compte d'une retenue. 

La valeur du bit courant t\ de r est capturee dans un premier registre 15, la 
35 valeur du bit courant Si de s est capturee dans un second registre 16. Un troisieme 
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registre 17 capture la retenue C; qui resulte des additions de bits qui ont precede. Enfin, 
un quatrieme registre 18 capture le bit yj obtenu apres addition des valeurs des bits 
courants r { et Si avec la retenue obtenue lors de l'addition precedente, cette retenue 
correspondant au contenu du troisierne registre 17. La retenue q resulte de la prise en 
compte de la retenue generee lors de l'addition des bits precedents, sortie du composant 
19 ET dont les entrees sont les sorties des deux premiers registres 15, 16, et de la 
retenue generee lors de l'addition des bits courants, sortie du composant 20 ET dont les 
entrees sont les valeurs des bits courants rj et Sj. Un composant 21 ET intermediaire 
genere une retenue lorsqu'il y a une retenue generee lors de Taddition des bits 
precedents et lorsqu'un seul des bits courants est a un, sortie du composant 22 ou 
exclusif dont les entrees sont les valeurs des bits courants. 

' * * La reteniie Cj est done urf 23 'OU'entfe la sortie 'du" composant 21 ET 
intermediaire et du composant 20 ET dont les entrees sont les valeurs des bits courants 
rj et Sj. Cette retenue Ci est capturee dans le troisierne registre 17 pour etre prise en 
compte lors de l'addition des bits suivants de r* et Si. 

Le bit y, resulte de l'addition des valeurs des bits courants r; et Sj, sortie du 
composant 22 OU exclusif dont les entrees sont les valeurs des bits courants rj et s ly 
avec la valeur de la retenue, sortie du composant 24 OU exclusif dont les entrees sont 
la sortie du composant 22 OU exclusif precedent et la sortie du troisierne registre 17. 

Les sorties des registres 15, 16, 17, 18 sont initialisees a 0. 

Ceci donne en final : = /; ? + £, + <:,• (mod 2) et c i+l =^ + +c-(div2), ou c 0 est 
choisi egal a 0. 

Selon une application particuliere, la fonction serie a en outre pour parametre 
d'entree un alea t fournit par l'application. 

Apres que la puce a produit un alea r selon le procede decrit en regard de la 
figure 2, puis lu la valeur du parametre x qui correspond a la valeur dudit alea dans sa 
memoire de donnees (par exemple a travers la fonction x = g r ), elle envoie a 
Tapplication la valeur de x, apres quoi l'application envoie a la puce un alea t dont la 
taille est reduite a 1 bit. 

Deux cas se presentent alors. Si la valeur de t est egale a 0, la puce choisit y = r. 
Si la valeur de t est egale a 1, la puce choisit y = r + s. Uimplantation de ce choix est 
connue de rhomme du metier et n'est done pas detaillee. 

La valeur d f authentification V est prise egale a y, et est envoyee a l'application. 

La verification consiste a tester l'equation : g y = x si t est egal a 0, ou bien 
g y =xp, si t est egal a 1, ou p est la cle publique de la puce correspondant a sa cle 
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secrete s, definie par la fonction p = g s . Si ces parametres sont choisis suffisamment 
grands, il est infaisable de retrouver s a partir de g et p selon Thypothese dite du 
logarithme discret, qui est une hypothese aujourd'hui communement admise. 

Selon une application particuliere, une fonction de hachage h peut etre utilisee 
5 pour le calcul de x. Dans ce cas, Tequation de verification devient : h(g y ,D) - x si t 
est egal aOou bien h(g y I p,D) = x si t est egal a 1. Pour eviter toute division dans 
Tequation de verification, il est aussi possible de choisir y = r - s plutot que y = r + s, 
auquel cas la seconde equation de verification devient : h(g y .p,D)~ x. Une autre 
possibility est de choisir p = g~ s plutot que p = g\ qui conduit aux equations de 

10 verification suivantes : h(g y ,D) = x et h(g y ./?,£>) = x . 

Dans les mises en ceuvre precedemment decrites, toute autre puce que celle 
. cpnnaissant la valeur secrete s a au plus une chance sur deux de fournir une valeur 
d'authentification qui soit reconnue comme valide par Implication. Ceci permet deja 
d'etablir une distinction entre une puce authentique et un clone, mais cette distinction 

15 reste insuffisante dans la plupart des cas reels duplication. 

Pour diminuer notablement les chances de succes d f un clone, une sqlution 
consiste a augmenter le nombre de bits m de Talea t Par exemple, Talea t est choisi 
egal a une chaine de 64 bits (t 6 3, ta,. to) dont un seul des bits est egal a 1. Soit i 
Tunique indice tel que tj est egal a 1, alors la valeur de y est choisie eg^le a : 

20 y = r + T s . Cette valeur est tres facile a calculer sequentiellement puisque cela revient 
a effectuer une addition entre r et rentier obtenu en decalant s de i bits vers la gauche 
(si les poids forts se trouvent a gauche). L'equation de verification est alors : g y =xp 2 ' . 
Dans ces conditions, toute autre puce que celle connaissant la valeur secrete s, a au 
plus une chance sur 64 de fournir une valeur d'authentification qui soit reconnue 

25 comme valide par Tauthentification. 

Selon une application particuliere, une fonction de hachage h peut etre utilisee 
pour le calcul de x. Dans ce cas, Tequation de verification devient : h(g y I p ,Z>) = x . 
Pour eviter toute division dans Tequation de verification, il est aussi possible de choisir 
30 y-r-2 l s plutot que j/ = r + 2'*s, auquel cas la seconde equation de verification 
devient : h(g y .p ,£>)-*. Une autre possibility est de choisir p^g~ s plutot que 
p~g 5 y qui conduit a l'equation de verification suivante : h(g y .p 2 ,D) = x . 

Pour cette solution decrite, il revient au meme du point de vue de la securite de 
35 choisir pour valeur de t un entier compris entre 0 et m-1 a la place de la chaine t telle 
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que definie ci-dessus, y etant alors pris egal a : y - r + 2* s et Tequation de verification 
etant : g y = xp 1 . 

Selon une application particuliere, une fonction- de hachage h peut etre utilisee 
5 pour le calcul de x. Dans ce cas, 1'equation de verification devient : h(g y I p 1 y D) = x . 
Pour eviter toute division dans Tequation de verification, il est aussi possible de choisir 
y-r-l* s plutot que y = r + 2 l s, auquel cas la seconde equation de verification 
devient : h(g y .p ,D) = x. Une autre possibility est de choisir p-g' s plutot que 
p = g\ qui conduit a 1'equation de verification suivante : h(g y .p 2 ,D) = x . 

10 

II revient encore au meme du point de vue de la securite de choisir pour valeur 
de t un entier compris entre 0 et m-1 a la place de la chaine t telle que defmie ci-dessus 5 
y etant alors pris egal a : y = r + ts et Tequation de verification etant : g y = xp* . 

1 5 Selon une application particuliere, une fonction de hachage h peut etre utilisee 

pour le calcul de x. Dans ce cas, 1'equation de verification devient : h(g y I p\D) = x . 
Pour eviter toute division dans Tequation de verification, il est aussi possible de choisir 
y - r - ts plutot que y = r + ts , auquel cas la seconde equation de verification devient 
: h(g y .p t ,D) ~ x. Une autre possibility est de choisir p = g~ 5 plutot que p = g s , qui 

20 conduit a Tequation de verification suivante : h{g y .p* ,D) = x . 

L'alea t peut bien entendu prendre d'autres valeurs. 

Le second moyen 9 de sortie de la valeur V d'authentification met typiquement 
25 en oeuvre une fonction de sortie qui est la fonction identite appliquee au parametre y. 
Ce moyen 9 est par exemple une zone memoire de taille egale a la taille du parametre 

y. 

Lors de transactions entre une application et une puce electronique, Tapplication 
30 et la puce mettent en oeuvre un precede cryptographique asymetrique de protection 
contre la fraude de la puce electronique selon Tinvention. Lors de cette mise en oeuvre, 
Tapplication fait appel a un dispositif de verification selon l'invention pour authentifier 
la puce. Le dispositif comprend un moyen de mise en oeuvre de la fonction de 
verification d'un precede selon Tinvention. Ce moyen verifie la valeur V 
35 d'authentification calculee par la puce electronique en utilisant des parametres 
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exclusivement publics qui comprennent au moins la cle p publique liee a la cle s 
secrete de la puce. 

Selon un des modes de realisation precedemment decrits d'un procede selon 
invention, le dispositif de verification compare le resultat (g y ) fourni par la fonction 
mathematique appliquee a la valeur d'authentification V a une des valeurs suivantes : la 
yaleur x, le produit (xp ) de la valeur x avec la cle p publique de la puce correspondant 
a sa cle s secrete, en fonction de la valeur du parametre t, y etant egale a la valeur 
d'authentification V et p etant la cle publique de la puce correspondant a sa cle secrete 
s, definie par la fonction p = g s . 

Le moyen est typiquement un calculateur. 
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REVENDICATIONS 

1. Procede cryptographique asymetrique de protection contre la fraude 
d'une puce electronique, dans des transactions entre une application et la puce 
electronique, consistant a calculer dans la puce electronique une valeur V 
d'authentification a partir de parametres d'entree, ledit procede comprenant les etapes 
qui consistent : 

a produire (1) par la puce un nombre pseudo-aleatoire dit alea r propre a 
la transaction au moyen d'un generateur pseudo-aleatoire serie inclus dans la puce, 

a transmettre (2) de la puce a l'application un parametre x calcule par 
l'application prealablement a la transaction, relie a l'alea r par une relation 
mathematiqiie et' stocks en riiemoire de donnees de la puce; 

a calculer (3) par la puce un parametre y au moyen d'une fonction serie 
ayant pour parametres d'entrees au moins l'alea r propre a la transaction et une cle s 
privee appartenant a une paire de cles asymetrique (s, p), ce parametre y constituant 
tout ou partie de la valeur d'authentification V, 

a transmettre (4) la valeur d'authentification V de la puce a l'application 

et, 

a verifier (5) par l'application ladite valeur d'authentification V au moyen 
d'une fonction de verification dont les parametres d'entrees consistent exclusivement en 
des parametres publics, contenant au moins la cle p publique. 

2. Procede cryptographique asymetrique de protection contre la fraude 
d'une puce electronique selon la revendication 1 dans lequel la production de l'alea r 
propre a la transaction consiste : 

a melanger tout ou partie de parametres d'entree au moyen d'une fonction 
(12) de melange et a fournir en sortie de la fonction de melange une suite de bits, 

a effectuer le changement d'etat d'un automate (13) a etats finis en le faisant 
passer d'un etat ancien a un etat nouveau selon une fonction dependant au moins de 
Fetat ancien et d'une valeur de la suite de bits, 

a determiner une suite de bits aleatoires pour former tout ou partie de l'alea r 
au moyen d'une fonction (14) de sortie ayant pour argument d'entree au moins un etat 
de r automate. 
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3. Procede selon la revendication 2, dans lequel Tun des parametres 
d* entree est constitue d'une cle secrete K partagee entre la puce et ^application, stockee 
dans une zone-memoire protegee de la puce. 

5 4. Procede selon la revendication 1, dans lequel la relation mathematique 

consiste en une fonction g r dans un ensemble G d'elements g muni d'une operation 
ayant au moins pour propriete d'etre associative. 

5. Procede selon la revendication 4, dans lequel l'ensemble G est le 
10 groupe Z* des entiers positifs ou nuls inferieurs a n et premiers avec n. 

6. Procede selon, la revendication 4, dans Jequel l'ensemble G est toute 
courbe elliptique construite sur tout corps fmi quelconque. ^ 

15 7. Procede selon la revendication 1, dans lequel la fonction serie est une 

fonction arithmetique effectuant des operations prises dans une liste qui comprend des 
additions, des soustractions et des decalages a gauche ou a droite. 

8. Procede selon la revendication 7, dans lequel la fonction arithmetique 
20 effectue uniquement des additions. ./-. 

9. Procede selon la revendication 7, dans lequel la fonction arithmetique 
effectue uniquement des soustractions. 

25 10. Procede selon la revendication 7, dans lequel la fonction arithmetique a 

en outre pour arguments d'entree des parametres d'entree et consiste a effectuer une des 
operations suivantes :y = r et y = r + s en fonction de la valeur attribute par 
Tapplication a un parametre t d'entree de la fonction serie. 

30 11. Procede selon la revendication 10, dans lequel la relation 

mathematique consiste en une fonction g r dans un ensemble G d'elements g muni 
d'une operation ayant au moins pour propriete d^tre associative et dans lequel la 
fonction de verification compare le resultat fourni par la fonction appliquee a la valeur 
d'authentifi cation V a une des valeurs suivantes : la valeur x, le produit de la valeur x 

35 avec la cle p publique de la puce correspondant a sa cle s secrete, en fonction de la 
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valeur du parametre t, ce qui revient a tester une des equations suivantes : g y = x et 
g y = xp , en fonction de la valeur du parametre t, y etant egale a la valeur 
d'authentification V et p etant la cle publique de la puce correspondant a sa cle secrete 
s, definie par la fonction p = g s . ....... 

5 

12. Procede selon la revendication 7, dans lequel la fonction arithmetique a 
en outre pour arguments d'entree des parametres d'entree et consiste a effectuer une des 
operations suivantes : y = r et y = r - s en fonction de la valeur attribute par 
1'application a un parametre t d'entree de la fonction serie. 

10 

13. Procede selon la revendication 12, dans lequel l'equation mathematique 
consiste en une fonction g r dans un ensemble G d'elements g muni d'une operation 
ayant au moins pour propriete d'etre associative et dans lequel la fonction de 
verification compare le resultat fourni par l'equation mathematique appliquee a la 

15 valeur d'authentification V a une des valeurs suivantes : la valeur x, le produit de la 
valeur x avec la cle p publique de la puce correspondant a sa cle s secrete, en fonction 
de la valeur du parametre t, ce qui revient a tester une des equations suivantes : g } ' = x 
et g y .p = x, en fonction de la valeur du parametre t, y etant egale a la valeur 
d'authentification V et p etant la cle publique de la puce correspondant a sa cle secrete 

20 s, definie par Tequation p = g s . 

14. Procede selon la revendication 7, dans lequel la fonction arithmetique a 
en outre pour arguments d'entree des parametres d'entree et consiste a effectuer 
Toperation suivante : y = r + 2' s en fonction de la valeur attribuee par Tapplication a un 

25 parametre t d'entree de la fonction serie, ce parametre t consistant en une chaine de m 
bits (tm-i,. . .,to) dont un seul des bits est egal a 1, le bit tj, m etant un entier naturel. 

15. Procede selon la revendication 14, dans lequel la relation 
mathematique consiste en une fonction £ r dans un ensemble G d'elements g muni 

30 d'une operation ayant au moins pour propriete d'etre associative et dans lequel la 
fonction de verification consiste a tester Tequation suivante : g y = xp 2 ' , en fonction de 
la valeur du parametre t, y etant egale a la valeur d'authentification V et p etant la cle 
publique de la puce correspondant a sa cle secrete s, definie par la fonction p-g s . 
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16. Procede selon la revendication 7, dans lequel la fonction arithmetique a 
en outre pour arguments d'entree des parametres d'entree et consiste a effectuer 
l'operation suivante : y = r + 2* s en fonction de la valeur attribuee par l'application a 
un parametre t d'entree de la fonction serie. 

5 

17. Procede selon la revendication 16, dans lequel la relation 
mathematique consiste en une fonction g r dans un ensemble G d'elements g muni 
d'une operation ayant au moins pour propriete d'etre associative et dans lequel la 
fonction de verification consiste a tester l'equation suivante : g y = xp , y etant egale a 

10 la valeur d'authentification V et p etant la cle publique de la puce correspondant a sa 
cle secrete s, definie par la fonction p = g 5 . 

18. Procede selon la revendication 7, dans lequel la fonction arithmetique a 
en outre pour arguments d'entree des parametres d'entree et consiste a effectuer 

15 l'operation suivante : y = r+ts en fonction de la valeur attribuee par Tapplicatiqn a un 
parametre t d'entree de la fonction serie, t etant un entier. 

19. Procede selon la revendication 18, dans lequel la relation 
mathematique consiste en une fonction g' dans un ensemble G d'elements g, : muni 

20 d'une operation ayant au moins pour propriete d'etre associative et dans lequel la 
fonction de verification compare le resultat fourni par la fonction appliquee a la valeur 
d'authentification V a une des valeurs suivantes : la valeur x, le produit de la valeur x 
avec la cle p publique de la puce correspondant a sa cle s secrete, en fonction de la 
valeur du parametre t, ce qui revient a tester Tequation suivante : g y = xp ( , en fonction 

25 de la valeur du parametre t, y etant egale a la valeur d'authentification V et p etant la 
cle publique de la puce correspondant a sa cle secrete s, definie par la fonction p = g s . 

20. Procede selon la revendication 1, dans lequel le parametre x transmis 
de la puce a Implication est le resultat d'une fonction de hachage appliquee au moins a 

30 un element relie a l'alea r par une fonction mathematique et a un champ optionnel D 
contenant des donnees liees a l'application. 

21. Procede selon la revendication 20, dans lequel la fonction arithmetique 
a en outre pour arguments d'entree des parametres d'entree et consiste a effectuer 

35 l'operation suivante : y = r + 2 l s en fonction de la valeur attribuee par l'application a un 
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parametre t d'entree de la fonction serie, ce parametre t consistant en une chaine de m 
bits (t m -i 5 ...,t 0 ) dont un seul des bits est egal a 1, le bit tj, m etant un entier naturel. 

22. Precede selon la revendication 21, dans lequel la relation 
5 mathematique consiste en une fonction g r dans un ensemble G d'elements g muni 
d'une operation ayant au moins pour propriete d'etre associative et dans lequel la 
fonction de verification consiste a tester l'equation suivante : h(g y I p 2 ' ,Z)) = x , en 
fonction de la valeur du parametre t, y etant egale a la valeur d'authentification V et p 
etant la cle publique de la puce correspondant a sa cle secrete s, definie par la fonction 
10 p = g>. 

* 23. 4 Precede r *selon la' revendication 1 *21, dans lequel la relation 

mathematique consiste en une fonction g'dans un ensemble G d'elements g muni 
d'une operation ayant au moins pour propriete d'etre associative et dans lequel la 
15 fonction de verification consiste a tester l'equation suivante : h(g y .p 2 9 D)-x 9 y etant 
egale a la valeur d'authentification V et p etant la cle publique de la puce correspondant 
a sa cle secrete s 3 definie par la fonction p = g~ s . 

24. Precede selon la revendication 20, dans lequel la fonction arithmetique 
20 a en outre pour arguments d'entree des parametres d'entree et consiste a effectuer 
Toperation suivante : y = r-2 l s en fonction de la valeur attribute par l'application a 
un parametre t d'entree de la fonction serie, ce parametre t consistant en une chaine de 
m bits (t m _i,. . .,to) dont un seul des bits est egal a 1, le bit ti, m etant un entier natureL. 

25 25. Precede selon la revendication 24, dans lequel la relation 

mathematique consiste en une fonction g r dans un ensemble G d'elements g muni 
d'une operation ayant au moins pour propriete d'etre associative et dans lequel la 
fonction de verification consiste a tester Tequation suivante : h(g y .p ,D) = x , y etant 
egale a la valeur d'authentification V et p etant la cle publique de la puce correspondant 

30 a sa cle secrete s, definie par la fonction p = g s . 

26. Precede selon la revendication 20, dans lequel la fonction 
mathematique consiste en une fonction g'dans un ensemble G d'elements g muni 
d'une operation ayant au moins pour propriete d'etre associative et dans lequel le 
35 parametre x transmis de la puce a l'application est le resultat d'une relation du type 
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x = h(g r y D) , ou D designe un champ optionnel contenant des donnees liees a 
Vapplication et h est la fonction de hachage. 

27. Procede selon la revendication 26, dans lequel la fonction serie a pour 
5 arguments d'entree des parametres d'entree, et consiste a effectuer une des operations 

suivantes :y-r et y = r + s en fonction de la valeur attribuee par Fapplication a un 
parametre t d'entree de la fonction serie et dans lequel la fonction de verification 
compare la valeur x a une des valeurs suivantes : h(g y ,D) , h(g y I p£>), en fonction 
de la valeur du parametre t, y etant egale a la valeur d'authentification V et p etant la 
10 cle pub lique de la puce correspondant a sa cle secrete s, definie par Tequation p = g s . 

28. Procede selon la revendication 26, dans lequel la fonction serie a pour < 
arguments d'entree des parametres d'entree, et consiste a effectuer une des operations 

^ suivantes :y = r et y-r + s en fonction de la valeur attribuee par Implication a mi 

15 parametre t d'entree de la fonction serie et dans lequel la fonction de verification 
compare la valeur x a une des valeurs suivantes : h(g y \D) , h(g y .p,D), en fonction de 
la valeur du parametre t, y etant egale a la valeur d'authentification V et p etant la cle 
publique de la puce correspondant a sa cle secrete s, defmie par l'equation p = g~ s . 

20 29. Procede selon la revendication 26, dans lequel la fonction serie^.a pour 

arguments d'entree des parametres d'entree, et consiste a effectuer une des operations . 
suivantes :y = r et y = r — s en fonction de la valeur attribuee par Fapplication a un 
parametre t d'entree de la fonction serie et dans lequel la fonction de verification 
compare la valeur x a une des valeurs suivantes : h(g y 9 D) , h{g y .pJD) , en fonction de 

25 la valeur du parametre t, y etant egale a la valeur d'authentification V et p etant la cle 
publique de la puce correspondant a sa cle secrete s, definie par l'equation p- g s . 

30. Procede selon Tune des revendications 7 a 29, dans lequel Tensemble G 
est le groupe Z* des entiers positifs ou nuls inferieurs a n et premiers avec n. 

30 

31. Procede selon Yunc des revendications 7 a 29, dans lequel Tensemble G 
est toute courbe elliptique construite sur tout corps fini quelconque. 
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32. Dispositif (6) a puce electronique permettant la mise en ceuvre d'un 
procede cryptographique asymetrique de protection contre la fraude de la puce 
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electronique selon l'une des revendications precedentes, dans des transactions entre une 
application et la puce electronique, consistant a calculer par la puce electronique une 
valeur V d'authentification a partir de parametres d'entree, ledit dispositif comprenant : 
- un generateur. (7) pseudo-aleatoire serie produisant un alea r propre a la 
5 transaction, 

-un premier moyen (8) de memorisation dans lequel est stocke au moins une 
valeur de x, la valeur du parametre x etant calculee prealablement a la transaction par 
l'application et etant reliee a la valeur de l'alea r par une relation mathematique, 

-un moyen (9) de transmission de la puce electronique a l'application du 
1 0 parametre x relie a l'alea r propre a la transaction, 

-un moyen (10) de mise en oeuvre d'une fonction serie ayant pour parametres 
d f entrees au moins Talea r propre a la transaction et une cle s privee appartenant a une 
paire de cles asymetrique (s, p) et fournissant en sortie un parametre y, 

-un moyen (9) de sortie pour constituer la valeur V d'authentification a partir 
1 5 d'au moins le parametre y. 

33. Dispositif de verification pour la mise en oeuvre d f un procede 
cryptographique asymetrique de protection contre la fraude dune puce electronique, 
dans des transactions entre une application et la puce electronique, selon Tune des 
20 revendications 1 a 31 consistant a verifier une valeur V d'authentification calculee par 
la puce electronique a partir de parametres exclusivement publics, ledit dispositif 
comprenant un moyen de mise en ceuvre de la fonction de verification prenant en 
entree au moins la valeur V d'authentification et la cle p publique. 
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